공격 노출 영역 축소 규칙 사용

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR
• Microsoft Defender 바이러스 백신

플랫폼

• Windows

팁

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

공격 표면 감소 규칙은 맬웨어가 종종 디바이스와 네트워크를 손상시키기 위해 남용하는 작업을 방지하는 데 도움이 됩니다.

요구 사항

Windows 버전 간 공격 표면 감소 기능

다음 버전 및 Windows 버전을 실행하는 디바이스에 대한 공격 표면 감소 규칙을 설정할 수 있습니다.

• Windows 11 Pro
• Windows 11 Enterprise
• Windows 10 Pro, 버전 1709 이상
• Windows 10 Enterprise 버전 1709 이상
• Windows Server 버전 1803(반기 채널) 이상
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022

공격 표면 감소 규칙의 전체 기능 집합을 사용하려면 다음이 필요합니다.

• 바이러스 백신을 기본 AV로 Microsoft Defender(실시간 보호 켜기)
• Cloud-Delivery Protection 켜기(일부 규칙에 따라 필요)
• Windows 10 Enterprise E5 또는 E3 라이선스

공격 노출 영역 감소 규칙에는 Windows E5 라이선스가 필요하지 않지만 Windows E5 라이선스가 있으면 엔드포인트용 Defender에서 사용할 수 있는 모니터링, 분석 및 워크플로뿐만 아니라 Microsoft Defender XDR 포털의 보고 및 구성 기능을 비롯한 고급 관리 기능이 제공됩니다. 이러한 고급 기능은 E3 라이선스에서 사용할 수 없지만 이벤트 뷰어 사용하여 공격 표면 감소 규칙 이벤트를 검토할 수 있습니다.

각 공격 표면 감소 규칙에는 다음 네 가지 설정 중 하나가 포함됩니다.

• 구성 | 되지 않음사용 안 함: 공격 표면 감소 규칙 사용 안 함
• 차단: 공격 표면 감소 규칙 사용
• 감사: 공격 표면 감소 규칙이 사용하도록 설정된 경우 organization 미치는 영향 평가
• 경고: 공격 표면 감소 규칙을 사용하도록 설정하지만 최종 사용자가 블록을 우회할 수 있도록 허용

Windows E5 라이선스(또는 유사한 라이선스 SKU)와 함께 공격 표면 감소 규칙을 사용하여 엔드포인트용 Microsoft Defender(엔드포인트용 Defender)에서 사용할 수 있는 고급 모니터링 및 보고 기능을 활용하는 것이 좋습니다. 그러나 고급 모니터링 및 보고 기능을 포함하지 않는 Windows Professional 또는 Windows E3와 같은 다른 라이선스가 있는 경우 공격 표면 감소 규칙이 트리거될 때 각 엔드포인트에서 생성되는 이벤트(예: 이벤트 전달)를 기반으로 자체 모니터링 및 보고 도구를 개발할 수 있습니다.

팁

Windows 라이선스에 대한 자세한 내용은 Windows 10 라이선스 및 Windows 10 볼륨 라이선싱 가이드를 참조하세요.

다음 방법 중 원하는 방법을 사용하여 공격 표면 감소 규칙을 사용하도록 설정할 수 있습니다.

• Microsoft Intune
• MDM(모바일 장치 관리)
• Microsoft Configuration Manager
• 그룹 정책
• PowerShell

Intune 또는 Microsoft Configuration Manager 같은 엔터프라이즈 수준 관리를 권장합니다. 엔터프라이즈 수준 관리는 시작 시 충돌하는 그룹 정책 또는 PowerShell 설정을 덮어씁니다.

공격 표면 감소 규칙에서 파일 및 폴더 제외

대부분의 공격 표면 감소 규칙에 의해 평가되는 파일 및 폴더를 제외할 수 있습니다. 즉, 공격 표면 감소 규칙이 파일 또는 폴더에 악의적인 동작이 포함되어 있다고 판단하더라도 파일 실행이 차단되지 않습니다.

중요

파일 또는 폴더를 제외하면 공격 표면 감소 규칙에서 제공하는 보호가 크게 감소할 수 있습니다. 제외된 파일은 실행할 수 있으며 보고서나 이벤트는 기록되지 않습니다. 공격 노출 영역 감소 규칙이 검색되어서는 안 된다고 생각되는 파일을 검색하는 경우 먼저 감사 모드를 사용하여 규칙을 테스트해야 합니다. 제외는 제외된 애플리케이션 또는 서비스가 시작될 때만 적용됩니다. 예를 들어 이미 실행 중인 업데이트 서비스에 대한 제외를 추가하는 경우 업데이트 서비스는 서비스가 중지되고 다시 시작될 때까지 이벤트를 계속 트리거합니다.

제외를 추가할 때 다음 사항에 유의하세요.

• 제외는 일반적으로 개별 파일 또는 폴더(제외할 파일의 전체 경로 또는 폴더 경로 사용)를 기반으로 합니다.
• 제외 경로는 환경 변수 및 와일드카드를 사용할 수 있습니다. 파일 이름 및 폴더 경로 또는 확장명 제외 목록에서 와일드카드 사용을 참조하세요.
• 그룹 정책 또는 PowerShell을 통해 배포되는 경우 모든 공격 표면 감소 규칙에 제외가 적용됩니다. Intune 사용하여 특정 공격 표면 감소 규칙에 대한 제외를 구성할 수 있습니다. 규칙별 공격 노출 영역 감소 규칙 구성을 참조하세요.
• 지정된 엔드포인트용 Defender 파일 및 인증서 표시기를 허용하여 인증서 및 파일 해시에 따라 제외를 추가할 수 있습니다. 표시기 관리를 참조하세요.

정책 충돌

1. 충돌하는 정책이 MDM 및 GP를 통해 적용되는 경우 GP에서 적용된 설정이 우선합니다.

2. 관리 디바이스에 대한 공격 표면 감소 규칙은 이제 각 디바이스에 대한 정책의 상위 집합을 만들기 위해 다양한 정책의 설정 병합 동작을 지원합니다. 충돌하지 않는 설정만 병합되지만 충돌하는 설정은 규칙의 상위 집합에 추가되지 않습니다. 이전에는 두 정책에 단일 설정에 대한 충돌이 포함된 경우 두 정책 모두 충돌하는 것으로 플래그가 지정되었으며 두 프로필의 설정이 배포되지 않았습니다. 공격 표면 감소 규칙 병합 동작은 다음과 같습니다.

   • 다음 프로필의 공격 표면 감소 규칙은 규칙이 적용되는 각 디바이스에 대해 평가됩니다.
     • 디바이스 > 구성 프로필 > Endpoint Protection 프로필 >Microsoft Defender Exploit Guard>공격 표면 감소.
     • 엔드포인트 보안 >공격 표면 감소 정책>공격 표면 감소 규칙.
     • 엔드포인트 보안 > 보안 기준은 >ATP 기준>공격 표면 감소 규칙을 Microsoft Defender.
   • 충돌이 없는 설정은 디바이스에 대한 정책의 상위 집합에 추가됩니다.
   • 두 개 이상의 정책에 충돌하는 설정이 있는 경우 충돌하는 설정은 결합된 정책에 추가되지 않고 충돌하지 않는 설정은 디바이스에 적용되는 상위 집합 정책에 추가됩니다.
   • 충돌하는 설정에 대한 구성만 보류됩니다.

구성 방법

이 섹션에서는 다음 구성 방법에 대한 구성 세부 정보를 제공합니다.

• Intune
• Intune 사용자 지정 프로필
• MDM
• Microsoft Configuration Manager
• 그룹 정책
• PowerShell

공격 표면 감소 규칙을 사용하도록 설정하는 다음 절차에는 파일 및 폴더를 제외하는 방법에 대한 지침이 포함되어 있습니다.

Intune

디바이스 구성 프로필

1. 디바이스 구성>프로필을 선택합니다. 기존 엔드포인트 보호 프로필을 선택하거나 새 엔드포인트 보호 프로필을 만듭니다. 새 프로필을 만들려면 Create 프로필을 선택하고 이 프로필에 대한 정보를 입력합니다. 프로필 유형에서 엔드포인트 보호를 선택합니다. 기존 프로필을 선택한 경우 속성을 선택한 다음 설정을 선택합니다.

2. 엔드포인트 보호 창에서 Windows Defender Exploit Guard를 선택한 다음 공격 표면 감소를 선택합니다. 각 공격 표면 감소 규칙에 대해 원하는 설정을 선택합니다.

3. 공격 표면 감소 예외에서 개별 파일 및 폴더를 입력합니다. 가져오기를 선택하여 공격 표면 감소 규칙에서 제외할 파일 및 폴더가 포함된 CSV 파일을 가져올 수도 있습니다. CSV 파일의 각 줄은 다음과 같이 형식이 지정되어야 합니다.

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. 세 가지 구성 창에서 확인을 선택합니다. 그런 다음, 새 엔드포인트 보호 파일을 만드는 경우 Create 선택하거나 기존 엔드포인트 보호 파일을 편집하는 경우 저장을 선택합니다.

엔드포인트 보안 정책

1. 엔드포인트 보안>공격 표면 감소를 선택합니다. 기존 공격 표면 감소 규칙을 선택하거나 새 공격 표면 축소 규칙을 만듭니다. 새 정책을 만들려면 Create 정책을 선택하고 이 프로필에 대한 정보를 입력합니다. 프로필 유형에서 공격 표면 감소 규칙을 선택합니다. 기존 프로필을 선택한 경우 속성을 선택한 다음 설정을 선택합니다.

2. 구성 설정 창에서 공격 표면 감소를 선택한 다음 각 공격 표면 감소 규칙에 대해 원하는 설정을 선택합니다.

3. 보호해야 하는 추가 폴더 목록, 보호된 폴더에 액세스할 수 있는 앱 목록 및 공격 노출 영역 축소 규칙에서 파일 및 경로 제외에서 개별 파일 및 폴더를 입력합니다. 가져오기를 선택하여 공격 표면 감소 규칙에서 제외할 파일 및 폴더가 포함된 CSV 파일을 가져올 수도 있습니다. CSV 파일의 각 줄은 다음과 같이 형식이 지정되어야 합니다.

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. 세 가지 구성 창에서 다음을 선택한 다음, 새 정책을 만드는 경우 Create 선택하거나 기존 정책을 편집하는 경우 저장을 선택합니다.

Intune 사용자 지정 프로필

Microsoft Intune OMA-URI를 사용하여 사용자 지정 공격 표면 감소 규칙을 구성할 수 있습니다. 다음 절차에서는 악용 된 취약한 서명된 드라이버의 남용 차단 규칙을 예제에 사용합니다.

1. Microsoft Intune 관리 센터를 엽니다. 홈 메뉴에서 디바이스를 클릭하고 구성 프로필을 선택한 다음 Create 프로필을 클릭합니다.

   

2. 프로필 Create 다음 두 드롭다운 목록에서 다음을 선택합니다.

   • 플랫폼에서Windows 10 이상을 선택합니다.
   • 프로필 유형에서 템플릿을 선택합니다.
   • 엔드포인트 보안을 통해 공격 표면 감소 규칙이 이미 설정된 경우 프로필 유형에서 설정 카탈로그를 선택합니다.

   사용자 지정을 선택한 다음, Create 선택합니다.

   

3. 사용자 지정 템플릿 도구가 1단계 기본 사항으로 열립니다. 1 기본 사항의 이름에 템플릿의 이름을 입력하고 설명에 설명을 입력할 수 있습니다(선택 사항).

   

4. 다음을 클릭합니다. 2단계 구성 설정이 열립니다. OMA-URI 설정의 경우 추가를 클릭합니다. 이제 추가 및 내보내기라는 두 가지 옵션이 표시됩니다.

   

5. 추가를 다시 클릭합니다. 행 OMA-URI 설정 추가가 열립니다. 행 추가에서 다음을 수행합니다.

   • 이름에 규칙의 이름을 입력합니다.

   • 설명에 간단한 설명을 입력합니다.

   • OMA-URI에서 추가하려는 규칙에 대한 특정 OMA-URI 링크를 입력하거나 붙여넣습니다. 이 예제 규칙에 사용할 OMA-URI는 이 문서의 MDM 섹션을 참조하세요. 공격 표면 감소 규칙 GUIDS는 공격 표면 감소 규칙 문서의 규칙별 설명을 참조하세요.

   • 데이터 형식에서 문자열을 선택합니다.

   • 값에서 GUID 값, = 기호 및 공백이 없는 상태 값(GUID=StateValue)을 입력하거나 붙여넣습니다. 여기서,

     • 0: 사용 안 함(공격 표면 감소 규칙 사용 안 함)
     • 1: 차단(공격 표면 감소 규칙 사용)
     • 2: 감사(사용 가능한 경우 공격 표면 감소 규칙이 organization 미치는 영향 평가)
     • 6: 경고(공격 표면 감소 규칙을 사용하도록 설정하지만 최종 사용자가 블록을 우회할 수 있도록 허용)

   

6. 저장을 선택합니다. 행 추가 가 닫힙니다. 사용자 지정에서 다음을 선택합니다. 3단계 범위 태그에서 scope 태그는 선택 사항입니다. 다음 중 하나를 수행합니다.

   • 범위 태그 선택을 선택하고 scope 태그(선택 사항)를 선택한 다음, 다음을 선택합니다.
   • 또는 다음을 선택합니다 .

7. 4단계 할당의 포함된 그룹에서 이 규칙을 적용하려는 그룹에 대해 다음 옵션 중에서 선택합니다.

   • 그룹 추가
   • 모든 사용자 추가
   • 모든 디바이스 추가

   

8. 제외된 그룹에서 이 규칙에서 제외할 그룹을 선택한 다음, 다음을 선택합니다.

9. 다음 설정에 대한 5단계 적용 가능성 규칙 에서 다음을 수행합니다.

   • 규칙에서 프로필 할당(있는 경우) 또는 프로필 할당 안 함(있는 경우)을 선택합니다.

   • 속성에서 이 규칙을 적용할 속성을 선택합니다.

   • 값에 해당 값 또는 값 범위를 입력합니다.

   

10. 다음을 선택합니다. 6단계 검토 + 만들기에서 선택하고 입력한 설정 및 정보를 검토한 다음, Create 선택합니다.

    

    규칙은 활성 상태이며 몇 분 내에 라이브로 진행됩니다.

참고

충돌 처리:

디바이스에 두 개의 다른 공격 표면 감소 정책을 할당하는 경우 규칙이 서로 다른 상태를 할당하는지 여부, 충돌 관리가 적용되는지 여부 및 결과가 오류인지 여부에 따라 잠재적인 정책 충돌이 발생할 수 있습니다. 규칙을 충돌하지 않으면 오류가 발생하지 않으며 이러한 규칙이 올바르게 적용됩니다. 첫 번째 규칙이 적용되고 후속 비연합 규칙이 정책에 병합됩니다.

MDM

./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules CSP(구성 서비스 공급자)를 사용하여 각 규칙에 대한 모드를 개별적으로 사용하도록 설정하고 설정합니다.

다음은 공격 표면 감소 규칙 참조에 GUID 값을 사용하는 참조 샘플입니다.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

감사 모드에서 사용(차단), 사용 안 함, 경고 또는 활성화할 값은 다음과 같습니다.

• 0: 사용 안 함(공격 표면 감소 규칙 사용 안 함)
• 1: 차단(공격 표면 감소 규칙 사용)
• 2: 감사(사용 가능한 경우 공격 표면 감소 규칙이 organization 미치는 영향 평가)
• 6: 경고(공격 표면 감소 규칙을 사용하도록 설정하지만 최종 사용자가 블록을 우회할 수 있도록 허용). 경고 모드는 대부분의 공격 표면 감소 규칙에 사용할 수 있습니다.

./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions CSP(구성 서비스 공급자)를 사용하여 제외를 추가합니다.

예:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

참고

공백 없이 OMA-URI 값을 입력해야 합니다.

Microsoft Configuration Manager

1. Microsoft Configuration Manager 자산 및 규정 준수>엔드포인트 보호>Windows Defender Exploit Guard로 이동합니다.

2. 홈>Create Exploit Guard 정책을 선택합니다.

3. 이름 및 설명을 입력하고 공격 표면 축소를 선택하고 다음을 선택합니다.

4. 작업을 차단하거나 감사할 규칙을 선택하고 다음을 선택합니다.

5. 설정을 검토하고 다음 을 선택하여 정책을 만듭니다.

6. 정책을 만든 후 닫기를 선택합니다.

경고

실제 적용 없이 규격으로 표시된 서버 OS 버전에서 공격 표면 감소의 적용 가능성과 관련된 알려진 문제가 있습니다. 현재 이 문제가 해결될 시기에 대한 ETA는 없습니다.

그룹 정책

경고

Intune, Configuration Manager 또는 기타 엔터프라이즈 수준 관리 플랫폼을 사용하여 컴퓨터 및 디바이스를 관리하는 경우 관리 소프트웨어는 시작 시 충돌하는 그룹 정책 설정을 덮어씁 수 있습니다.

1. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 열고 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

2. 그룹 정책 관리 편집기에서 컴퓨터 구성으로 이동하여 관리 템플릿을 선택합니다.

3. 트리를 Windows 구성 요소>Microsoft Defender 바이러스 백신>Microsoft Defender Exploit Guard>공격 표면 축소로 확장합니다.

4. 공격 표면 감소 규칙 구성을 선택하고 사용을 선택합니다. 그런 다음 옵션 섹션에서 각 규칙에 대한 개별 상태를 설정할 수 있습니다. 표시...를 선택하고 다음과 같이 값 이름 열에 규칙 ID를 입력하고 값 열에서 선택한 상태를 입력합니다.

   • 0: 사용 안 함(공격 표면 감소 규칙 사용 안 함)

   • 1: 차단(공격 표면 감소 규칙 사용)

   • 2: 감사(사용 가능한 경우 공격 표면 감소 규칙이 organization 미치는 영향 평가)

   • 6: 경고(공격 표면 감소 규칙을 사용하도록 설정하지만 최종 사용자가 블록을 우회할 수 있도록 허용)

     

5. 공격 표면 감소 규칙에서 파일 및 폴더를 제외하려면 공격 표면 감소 규칙에서 파일 및 경로 제외 설정을 선택하고 옵션을 사용으로 설정합니다. 표시를 선택하고 값 이름 열에 각 파일 또는 폴더를 입력합니다. 각 항목의 값 열에 0을 입력합니다.

   경고

   값 이름 열 또는 값 열에 대해 지원되지 않으므로 따옴표를 사용하지 마세요. 규칙 ID에는 선행 또는 후행 공백이 없어야 합니다.

PowerShell

경고

Intune, Configuration Manager 또는 다른 엔터프라이즈 수준 관리 플랫폼을 사용하여 컴퓨터 및 디바이스를 관리하는 경우 관리 소프트웨어는 시작 시 충돌하는 PowerShell 설정을 덮어씁니다.

1. 시작 메뉴에서 powershell을 입력하고 Windows PowerShell을 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다.

2. 다음 cmdlet 중 하나를 입력합니다. (규칙 ID와 같은 자세한 내용은 공격 표면 감소 규칙 참조를 참조하세요.)

   작업	PowerShell cmdlet
   공격 노출 영역 축소 규칙 사용	Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
   감사 모드에서 공격 표면 감소 규칙 사용	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
   경고 모드에서 공격 표면 감소 규칙 사용	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
   공격 표면 감소 사용 악용된 취약한 서명된 드라이버의 남용 차단	Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
   공격 표면 감소 규칙 끄기	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

   중요

   각 규칙에 대해 개별적으로 상태를 지정해야 하지만 쉼표로 구분된 목록에서 규칙과 상태를 결합할 수 있습니다.

   다음 예제에서는 처음 두 규칙을 사용하도록 설정하고, 세 번째 규칙은 사용하지 않도록 설정하고, 네 번째 규칙은 감사 모드에서 사용하도록 설정됩니다. Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

   PowerShell 동사를 사용하여 Add-MpPreference 기존 목록에 새 규칙을 추가할 수도 있습니다.

   경고

   Set-MpPreference 기존 규칙 집합을 덮어씁니다. 기존 집합에 추가하려면 대신 를 사용합니다 Add-MpPreference . 를 사용하여 Get-MpPreference규칙 및 현재 상태 목록을 가져올 수 있습니다.

3. 공격 표면 감소 규칙에서 파일 및 폴더를 제외하려면 다음 cmdlet을 사용합니다.

   Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

   를 계속 사용하여 Add-MpPreference -AttackSurfaceReductionOnlyExclusions 목록에 파일 및 폴더를 더 추가합니다.

   중요

   를 사용하여 Add-MpPreference 목록에 앱을 추가하거나 추가합니다. cmdlet을 Set-MpPreference 사용하면 기존 목록을 덮어씁 수 있습니다.

관련 문서

• 공격 표면 감소 규칙 참조
• 공격 표면 감소 평가
• 공격 표면 감소 FAQ

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.